Spectre y Meltdown

2018 comenzó con un bombazo que hizo temblar el mundo de la computación. Un artículo publicado en The Register adelantó una serie de vulnerabilidades críticas en procesadores Intel y métodos de ataque de canal lateral que permitían saltarse el ASLR, un mecanismo de protección incluido en los sistemas operativos basado en la aleatorización de ubicaciones de la memoria RAM.

Poco después se conoció que Spectre y Meltdown afectaban a la misma arquitectura de los procesadores y se extendía también en alguna de sus variantes a otros proveedores como AMD y ARM. Las vulnerabilidades afectaban a la seguridad (y al rendimiento) de centenares de millones de dispositivos electrónicos de varios proveedores de chips y sistemas operativos. Y no solo ordenadores personales. Si Meltdown afectaba únicamente a procesadores Intel, Spectre afecta también a AMD y ARM, por lo que varios medios extienden la problemática a móviles inteligentes, consolas de videojuegos y otros dispositivos.

El CERT (Computer Emergency Response Team), el centro de respuesta a incidentes de seguridad en tecnologías de la información y referente absoluto en ciberseguridad, confirmó la situación crítica y emitió unas declaraciones que hicieron saltar las alarmas en todo el planeta: “Debido al hecho de que la vulnerabilidad existe en la arquitectura de la CPU en lugar de el software, los parches no pueden abordarla plenamente en todos los casos. Para eliminar la vulnerabilidad por completo, será necesario reemplazar la CPU afectada“. 

El año horrible de Facebook

La primera red social por número de usuarios nunca ha destacado en sus aspecto de seguridad y privacidad, pero lo de este año ha supuesto ‘un antes y un después’ como empresa y 2018 cerrará como el año en el que se ha conocido los más graves incumplimientos de Facebook de su deber de proteger los datos de los usuarios, su intimidad y privacidad.

El escándalo de Cambridge Analytica (incluyendo extorsiones al más puro estilo mafioso con sobornos, espías y prostitutas), por el que la consultora tuvo acceso no autorizado a datos e información privada de hasta 87 millones de usuarios, fue seguido de un hackeo más reciente que se convirtió en el error de seguridad más grave de la historia de la compañía, comprometiendo la información personal de 30 millones de usuarios.

Otro de los casos sonados afectó gravemente a la privacidad cuando la red social convirtió la seguridad en negocio  vendiendo los números de teléfono 2FA proporcionados por los usuarios con el objetivo de mejorar la seguridad en el acceso a servicios de Internet, para enviar anuncios publicitarios personalizados.

Este mismo mes un fallo de seguridad comprometió la privacidad de 6,8 millones de usuarios, al revelar fotografías privadas que no habían sido compartidas públicamente en la red social. El fallo de software afectó a millones de usuarios que usaron el inicio de sesión de Facebook para conceder permisos a aplicaciones de terceros y acceder a las fotos. Facebook habló de 1.500 aplicaciones y 876 desarrolladores los afectados por un caso que se produjo durante doce días entre el 13 y el 25 de septiembre.

Y para terminar el año llegó otro caso bien gordo que, de confirmarse, debería obligar a los reguladores de todo el mundo a tomar medidas urgentes y definitivas contra la firma de Mark Zuckerberg.  The New York Times aseguró que Facebook entregó datos y mensajes a Amazon, Microsoft, Netflix y hasta 150 grandes empresas más, sin conocimiento ni consentimiento de sus usuarios,

Enorme robo de datos en Marriott

La cadena de hoteles Marriott informó de una de las mayores violaciones de seguridad de la historia, con robo de datos personales y financieros de 500 millones de clientes. La brecha de seguridad se remonta -nada menos- que a 2014 y se habría originado en la cadena de hoteles Starwood adquirida por Marriott en 2016. La brecha no fue detectada ni en el proceso de fusión ni en los años siguientes.

Marriott dice que no tuvo conocimiento del acceso no autorizado a la base de datos de reservas hasta el 19 de noviembre de 2018. La base de datos robada acumuló más de 4 años de información e incluyó una información personal y financiera amplísima, “una combinación de nombre, dirección postal, número de teléfono, dirección de correo electrónico, pasaporte, información de la cuenta, fecha de nacimiento, sexo, información de llegada y salida, fecha de reserva y preferencias de comunicación”. 

Para empeorar las cosas, Marriott dice que probablemente también se robaron los números de las tarjetas de crédito. Aunque los números estaban cifradas con el estándar AES-128, Marriott dice que no puede descartar que los piratas informáticos también robaron las claves para descifrar la información de los números de las tarjetas.

Ransomware es la principal ciberamenaza

El Ransomware mantiene la supremacía como la principal ciberamenaza de malware en la mayoría de los estados miembros de la Unión Europea, según el informe de Europol, Internet Organised Crime Threat Assessment (IOCTA) correspondiente a 2018.

El informe, “tiene como objetivo informar a los responsables de la toma de decisiones a nivel estratégico, político y táctico en la lucha contra la ciberdelincuencia, con el objetivo de dirigir el enfoque operativo para la aplicación de la ley en la UE”, dice el informe de Europol, el órgano encargado de coordinar, apoyar y facilitar las operaciones de los cuerpos policiales europeos a nivel de la Unión.

Al igual que con otros tipos de malware, los ciberataques por Ransomware son cada vez más numerosos, sofisticados, peligrosos y masivos, como mostró WanaCryptor, un ataque bien planificado y estructurado cuyo objetivo fue lograr una infección masiva a nivel mundial, poniendo contra las cuerdas a un buen número de grandes empresas de decenas de países.

Si hasta ahora el Ransomware solía tener motivaciones exclusivamente económicas produciendo altos beneficios para los atacantes, últimamente está ampliando objetivos como método preferente de introducción de malware tal y como vimos con el ransomware NotPetya.

Recordemos que un Ransomware típico infecta un ordenador personal o dispositivo móvil, bloquea el funcionamiento y/o acceso a una parte o a todo el equipo apoderándose de los archivos con un cifrado fuerte y exige al usuario una cantidad de dinero como “rescate” para liberarlos. Por ello, si el mejor de los consejos en ciberseguridad es la prevención, en el caso del Ransomware es imprescindible para frenarlo siguiendo este tipo de consejos.

GitHub sufre el mayor ataque DDoS jamás registrado

GitHub, uno de los grandes servicios de alojamiento mundial para control de versiones, desarrollo e intercambio de software, sufrió en marzo el mayor ataque DDoS jamás registrado: 1,35 terabits por segundo.

Como sabes, los ataques distribuidos de denegación de servicio (DDoS) sobrecargan los recursos computacionales del sistema atacado hasta dejarlo inaccesible. Saturación mediante grandes flujos de información desde varios puntos hasta dejar los servidores fuera de servicio.

El ataque DDoS a GitHub tuvo un nivel desconocido de 1,35 Tbps (126,9 millones de paquetes por segundo), casi el doble de la media de los mayores ataques registrados hasta entonces como el que tumbó Krebs on Security a 620 Gbps, el realizado al proveedor de hosting francés OVH que alcanzó casi los 800 Gbps o el mayor registrado hasta ahora contra el proveedor Dyn a 1,2 Tbps.

El enorme volumen de datos sobrepasó las computadoras de GitHub, lo que provocó que dejaran de responder y se desconectaran. En ese momento, GitHub recurrió al servicio especializado de mitigación de ataques DDos de Akamai para filtrar el tráfico malicioso, finalizando el efecto del ataque en pocos minutos. Hubo un segundo ataque que alcanzó un máximo de 400 Gbps, pero fue absorbido sin que el sitio cayera.